説明
Microsoft .NETコアおよびASP.NETコアに複数の深刻な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を利用してサービス拒否を引き起こし、機密情報を取得し、特権を得ることができます。
以下に、脆弱性の完全な一覧を示します。
- 証明書データの不適切な取り扱いは、サービス拒否を引き起こすために特別に細工された証明書を.NET Coreアプリケーションに提供することにより、リモートから悪用される可能性があります。
- オープンリダイレクトの脆弱性は、特権を得るために特別に細工されたURLを介してリモートから悪用される可能性があります。
- Web要求の不適切な処理は、サービス拒否を引き起こすためにASP.NET Core Webアプリケーションに対する特別な細工された要求を介してリモートから悪用される可能性があります。
- クロスオリジンリソースシェアリング(CORS)構成をバイパスすることの可能性は、センシティブな情報を得るために遠隔で利用することができます。
技術的な詳細
脆弱性(1)は、.NET Core 1.0,1.1、および2.0のみに影響します。
脆弱性(2)はASP.NET Core 2.0のみに影響します
脆弱性(3)は、ASP.NET Core 1.0,1.1,2.0にのみ影響します。
脆弱性(4)は、ASP.NET Core 1.0,1.1にのみ影響します。
オリジナルアドバイザリー
CVEリスト
KBリスト
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!